Identyfikacja tożsamości w aplikacji (MojeID, foto dowodu itp.)

[neotele]

@iphoneski
Nikt nie mówi, że pokazywanie dowodu w salonie jest wolne od zagrożeń, ale tam masz do czynienia z jednym "typkiem" i możesz patrzeć mu na ręce.

Natomiast dając dostęp aplikacji Orange do swojego banku:
- nie masz pewności, co ta aplikacja robi w tle (bo nie jest ona typu open source), tj. jakie dane sprawdza? / pobiera? / przechowuje?
- nie wiesz ile osób w Orange ma dostęp do pozyskanych w ten sposób danych i czy przypadkiem ktoś nie będzie chciał tego wykorzystać (a może sprzedać oszustom?).
W sumie więc, szacuję, aplikacja stwarza ponad 100-1000 razy większe ryzyko, niż wizyta w salonie z dowodem.

[Remington]

@neotele
Bezpieczeństwo tych danych zależy nie tyle od niej co od systemu operacyjnego. Aplikacja nie ma własnej przeglądarki internetowej tylko korzysta z systemowej i jeśli system nie ma luki, to apka niczego nie jest w stanie podejrzeć, nawet hasła choć wydaje się, że wpisujesz je w niej bezpośrednio. Jedyne ryzyko to gdyby zhackowana aplikacja kierowała do phishingowej strony, a nie prawdziwej bankowej (wtedy dane zbierałaby strona, a nie apka), w iOS można to łatwo sprawdzić, nie wiem jak w Androidzie.

[iphoneski]

Jest dokładnie tak jak pisze @Remington. No i logując się do systemu przez Moje id, system udostępnia Orange wyłącznie te dane, które są niezbędne do rejestracji. Dokładnie te same, które ty podajesz im rejestrując numer w salonie. I to są te same dane, które potem może wykraść ten sam człowiek z Orange, który mógłby to zrobić po rejestracji w aplikacji.
I niby co da patrzenie na ręce gościowi z salonu? Jaka sztuka zapamiętać kilka danych z dowodu, a potem szybko je gdzieś zapisać? Ja spokojnie dałbym radę pozyskiwać tak dane, a potem zamawiać dowody kolekcjonerskie i brać chwilówki na losowych ludzi.
Rejestrując w aplikacji ryzyko właśnie minimalizujesz, bo wykluczasz typka z salonu. Reszta ryzyk jest podobna, bo te same dane trafiają w te same miejsca i mogą je wykraść dokładnie ci sami ludzie.

[neotele]

Nie wiem na jakiej zasadzie działa i co faktycznie robi aplikacja Orange Flex. I nikt poza producentem też tego nie wie.
Natomiast informacje o tej aplikacji dostępne na stronie: https://play.google.com/store/apps/data ... .dop&hl=pl
odbiegają in minus w porównaniu do innych podobnych aplikacji:

[Remington]

Nie wiem na jakiej zasadzie działa i co faktycznie robi aplikacja Orange Flex. I nikt poza producentem też tego nie wie.

I tu się mylisz. Wie każdy kto zna możliwości Androida lub iOS-a, a konkretnie ograniczenia ich API. Aplikacja nie może więcej niż pozwala API systemu. Czyli może śledzić np. aktywność, ale do zapoznania się z danymi telefonu lub połączenia sieciowego musisz nadać jej samodzielnie uprawnienia, ani nie podejrzy jakie dane wpisujesz na stronie banku, ani jakie bank Tobie wyświetla, a tego się obawiałeś.

[iphoneski]

@neotele
To, że ty czegoś nie wiesz, nie znaczy, że ktoś próbuje cię orżnąć. Ja na przykład nie wiem jak działają czarne dziury, dlatego słucham naukowców badających to zjawisko i daje wiarę ich wypowiedziom. Tak samo skoro Apple dopuścił do swojego (skrupulatnie weryfikowanego) sklepu aplikację, a banki dopuszczają ją do swojego (skrupulatnie weryfikowanego) systemu to daje wiarę, że te instytucje wiedzą co i z kim robią.
Twoje podejście jest trochę jak tych wszystkich co nie chcą nadajników - nie znam się, ale szwagier kolegi mówił, że od tego kury się nie niosą i krowy mleka nie dają.

[Remington]

a banki dopuszczają ją do swojego (skrupulatnie weryfikowanego) systemu

To nie banki o tym decydują, aplikacja po prostu korzysta z bezpiecznego standardu, który został zaudytowany pod kątem bezpieczeństwa i nie ma się czego obawiać.

[iphoneski]

O widzisz, to tego nie wiedziałem. Myślałem, że tam musisz się zgłosić i oni cię potem łaskawie dopuszczają - coś jak przystąpienie do UE tylko w mniejszej skali
No ale tak jezt chyba nawet jeszcze lepiej, bo standardy zostały opracowane, wdrożone i aplikacja nie ma na to żadnego wpływu.

[neotele]

@neotele
To, że ty czegoś nie wiesz, nie znaczy, że ktoś próbuje cię orżnąć.

Stawiasz bezpodstawne i nieprawdziwe hipotezy.
Jedyne co napisałem, to że nie podoba mi się weryfikacja poprzez aplikację i konto bankowe (nie wiedząc na jakiej zasadzie to przebiega, co Orange widzi, zapisuje itp.), gdyż widzę tu wiele potencjalnych zagrożeń (co nie znaczy, że zakładam iż tak jest).
Natomiast Orange, chociażby przez to, że nierzetelnie informuje swoich klientów na temat bezpieczeństwa swoich aplikacji, nie pomaga tu klientom.

Twoje podejście jest trochę jak tych wszystkich co nie chcą nadajników - nie znam się, ale szwagier kolegi mówił, że od tego kury się nie niosą i krowy mleka nie dają.

Odnosząc się do tej Off-topic'owej frazy, powiem, że znowu się mylisz i sugeruję skupić się na faktach, zamiast uciekać w ogólnikowe i w większości mylne oraz bezproduktywne porównania.

[Remington]

Myślałem, że tam musisz się zgłosić i oni cię potem łaskawie dopuszczają - coś jak przystąpienie do UE tylko w mniejszej skali

Tak właśnoe jest, ale zgłaszać się trzeba raz do KIR-u i on sprawdza czy wszystko działa. Banki są podłączone do niego i jeśli on akceptuje to u nich zaczyna działać.

i konto bankowe (nie wiedząc na jakiej zasadzie to przebiega, co Orange widzi, zapisuje itp.), gdyż widzę tu wiele potencjalnych zagrożeń

No to napisz może jakich, bo mówisz ogólnikami i trudno się do nich odnieść, więc i odpowiedzi dostajesz na ogólnym poziomie. Na pewno Orange nie widzi tego co wpisujesz bankowi w ich aplikacji ani co bank pokazuje w niej Tobie - to na pewno.

Ja natomiast jako minus procudury zdalnej uważam fakt, że obraz dowodu osobistego przyjmuje postać elektroniczną - zawsze to jest potencjalne ryzyko wycieku, nawet gdy firma gwarantuje, że zdjęcie zaraz potem usuwa itp.

[iphoneski]

Z fotką dowodu to fakt - nigdy nie ma 100% pewności.

@neotele
Nie stawiam żadnych hipotez: ani błędnych, ani trafnych. Odnoszę się jedynie do twoich wypowiedzi, z których wynika jedynie to, że się boisz bo nie wiesz jak działa. I pewnie nie wiesz też innych rzeczy, na przykład dlaczego samoloty nie spadają. I czy to znaczy, że nigdy nie polecisz na wakacje? Ja też nie wiem wielu rzeczy i pewnie wiedział nie będę, dlatego ufam specjalistom w swoich branżach, podobnie jak ludzie ufają mi w mojej branży. Najmniej pewnym elementem w zasadach bezpieczeństwa zawsze był i będzie czynnik ludzki, dlatego zacząłem tę dyskusję. Bo uznałeś, że lepiej zarejestrować u człowieka, któremu możesz patrzeć na ręce. A ja cię od kilku godzin uświadamiam, że to jest właśnie najbardziej niebezpieczny punkt całej operacji. System został zaprojektowany do konkretnych zadań i wykonuje konkretne zadania. Człowiek natomiast może je wykonać, ale może też wykonać inne, które posłużą mu do jego prywatnych celów. A co i jak może zrobić i robi Orange już wyjaśnił Rem, więc nie będę tworzył tych samych postów.

[neotele]

Sądzę, że dostęp do konta bankowego przez kogokolwiek innego niż użytkownik, np. operatora sieci GSM, powinien być bardzo bardzo klarownie określony w zakresie tego dostępu i ściśle ograniczony co do tego zakresu.

Zakładacie optymistyczny scenariusz i, jak mi się wydaje, wierzycie, że operator w profesjonalny sposób coś tam (ale co?) na waszym koncie sprawdzi poprze API i nic, ani celowo, ani przez pomyłkę innego potencjalnie szkodliwego nie zrobi. I prawdopodobnie tak jest.

Jednak sądzę, że w tym szczególnym przypadku, jakim jest dostęp do konta bankowego, nie powinno się bazować tylko na wierze w umiejętności i uczciwość operatora, ale powinny być spełnione poniższe warunki:
- generalnie aplikacja operatora powinna być dokładnie i jawnie opisana w zakresie bezpieczeństwa danych klienta (a dla aplikacja Orange brak jest "informacji na temat tego, jak aplikacja zbiera, udostępnia i wykorzystuje Twoje dane");

- w przypadku dostępu do konta bankowego poprzez aplikację, powinno być jasno określone co aplikacja może podglądać, zbierać i przetwarzać a czego nie może i nie będzie robić;

- w tej szczególnej sytuacji, aby nie polegać tylko na wierze, kod aplikacji powinien być upubliczniony, tak aby osoby zainteresowane (i posiadające odpowiednią wiedzę) były w stanie zweryfikować powyższe (a być może wskazać jakieś niedociągnięcia aplikacji).

[Remington]

Zakładacie optymistyczny scenariusz i, jak mi się wydaje, wierzycie, że operator w profesjonalny sposób coś tam (ale co?) na waszym koncie sprawdzi poprze API i nic, ani celowo, ani przez pomyłkę innego potencjalnie szkodliwego nie zrobi. I prawdopodobnie tak jest.

To nie jest "optymistyczny" scenariusz, lecz jedyny możliwy, wynikający z ram jakie nakładają producenci systemów Android i iOS. Apka Orange nic nie może podejrzeć oprócz tego, co przekaże jej KIR. Wydaje mi się, że nie ze specyfikacja aplikacji Orange powinieneś się zpoznać, lecz ze specyfikacją MojeID (nie wiem czy jest dostępna), bo Orange tylko podłącza się do tego systemu.

Upublicznianie kodu komercyjnych aplikacji nie jest często spotykaną praktyką, ze względu na możliwość kopiowania przez konkurencję lub innych programistów oraz wykrycia ewentualnych luk przez przestępców. Wręcz przeciwnie, standardem jest tzw. obfuskacja kodu czyli czynienie go niemal niemożliwym do odczytania.

[neotele]

Wydaje mi się, że nie ze specyfikacja aplikacji Orange powinieneś się zpoznać, lecz ze specyfikacją MojeID

Chodzi o to, że to nie klient powinien się domyślać, co i w jaki sposób aplikacja Orange może podglądnąć i co podglądnie, ale operator powinien jednoznacznie wskazać, do czego będzie miał dostęp, co zapamięta i co wykorzysta.

Upublicznianie kodu komercyjnych aplikacji nie jest często spotykaną praktyką, ze względu na możliwość kopiowania przez konkurencję lub innych programistów oraz wykrycia ewentualnych luk przez przestępców. Wręcz przeciwnie, standardem jest tzw. obfuskacja kodu czyli czynienie go niemal niemożliwym do odczytania.

Tu mamy konflikt pomiędzy tajemnicą firmy a bezpieczeństwem klienta i niestety, najczęściej interes firmy traktowany jest priorytetowo.

Jeśli zaś chodzi o kwestię bezpieczeństwa wynikającą ze stosowania kodu otwartoźródłowego, to osobiście mam większe zaufanie do takiego softu, gdyż, w takich przypadkach, jeśli dojdzie do wykrycia jakiegoś zagrożenia, to jest ono w miarę szybko łatane, w przeciwieństwie do softu z ukrytym kodem, gdzie ujawnione podatności na zagrożenia czasami bywały nie załatane nawet przez lata.

[iphoneski]

Sądzę, że dostęp do konta bankowego przez kogokolwiek innego niż użytkownik, np. operatora sieci GSM, powinien być bardzo bardzo klarownie określony w zakresie tego dostępu i ściśle ograniczony co do tego zakresu.

I właśnie tak jest, ale ty nie potrafisz albo co bardziej prawdopodobne nie chcesz tego przyjąć do wiadomości. Operator dostaje jedynie imię, nazwisko i PESEL, czyli dane niezbędne do rejestracji. Więcej nie dostaje nawet gdyby chciał, bo tylko te dane przekazuje mu bankowy system Moje ID. Żadnych dostępów do konta bankowego nie ma, bank tylko potwierdza, że zweryfikował wcześniej te dane, są prawdziwe i można na ich podstawie zarejestrować numer.

[neotele]

Operator dostaje jedynie imię, nazwisko i PESEL, czyli dane niezbędne do rejestracji.
...
Żadnych dostępów do konta bankowego nie ma

Jeśli tak by było, to dla mnie byłoby do zaakceptowania. Ale to powinno być jasno sformułowane przez operatora na jego stronie i w jakimś Regulaminie, tak aby klient chcący skorzystać z promocji lub tylko założyć konto, nie miał tu żadnych wątpliwości.

[iphoneski]

W regulaminie to chyba nie może być, bo to są zasady Moje ID, więc to jest określone w jakichś zasadach działania ich systemu. Orange mogłoby jedynie dodać komunikat PDF na swojej stronie, w którym wyjaśniłoby jak to się odbywa. Właściwie to nawet nie jest taki zły pomysł, żeby taki komunikat zrobili. Mi były potrzebne 2 zdania napisane w czasie wolnym, więc tym bardziej oni mogliby zrobić to w godzinach pracy, żeby mniej świadomi klienci mogli ogarnąć zasady działania tej weryfikacji.

[Remington]

Dokładnie to samo miałem napisać. Jeśli ktokolwiek miałby to zawrzeć w regulaminie to bank przystępujący do MojeID, względnie KIR. Może już to robią? Orange nie ma wpływu czy bank nie przyśle mu więcej danych niż potrzebuje, to już jest sprawa KIR i banków.

[neotele]

Klient chce założyć konto we Flex, wiec wchodzi na ich stronę i tu powinno być klarownie opisane, jakie informacje będą żądane od banku i przekazane do aplikacji Flex.
Tu także powinna być, choćby skrócona informacja, co to jest Moje ID, bo nie każdy, nawet korzystający z tego forum, miał z czymś takim wcześniej do czynienia i może nie jest świadomy, że istniej strona https://www.mojeid.pl/ , jak się domyślam, związana z usługą Moje ID w aplikacji Flex.
Ale raz jeszcze podkreślam - nie może to być wynik przypuszczeń klienta i dyskusji na forach, ale powinna być jasna informacja ze strony Orange Flex.

[Remington]

Tak jak mówiłem, po szczegóły trzeba kierować się do banku, oto przykład: https://www.mbank.pl/pdf/inne/regulamin ... -2021r.pdf

Orange tylko korzysta z gotowca, choć mógłby co nieco go przybliżyć nieświadomym.